Tiêu chuẩn quốc gia TCVN ISO 22301:2018 về An ninh xã hội - Hệ thống quản lý kinh doanh

0.3  Các thành phần của PDCA trong tiêu chuẩn này

Trong mô hình Hoạch định - Thực hiện - Kiểm tra - Hành động nêu ở Bảng 1, các điều từ 4 đến 10 trong tiêu chuẩn này bao trùm các thành phần dưới đây.

- Điều 4 thuộc Hoạch định. Điều này đưa ra các yêu cầu cần thiết cho việc thiết lập bối cảnh của BCMS khi áp dụng cho tổ chức cũng như các nhu cầu, yêu cầu và phạm vi.

- Điều 5 thuộc Hoạch định. Điều này tóm tắt các yêu cầu cụ thể đối với vai trò của lãnh đạo cao nhất trong BCMS và cách thức sự lãnh đạo kết nối mong đợi của mình với tổ chức thông qua tuyên bố về chính sách.

- Điều 6 thuộc Hoạch định. Điều này quy định các yêu cầu liên quan đến việc thiết lập các mục tiêu chiến lược và hướng dẫn các nguyên tắc đối với BCMS như một tổng thể. Nội dung của điều 6 khác với việc thiết lập các cơ hội xử lý rủi ro xác định từ đánh giá rủi ro, cũng như các mục tiêu phục hồi bắt nguồn từ phân tích tác động kinh doanh (BIA).

CHÚ THÍCH: Các yêu cầu của quá trình phân tích tác động kinh doanh và đánh giá rủi ro được nêu chi tiết ở Điều 8.

- Điều 7 thuộc Hoạch định. Điều này hỗ trợ việc triển khai BCMS liên quan đến thiết lập năng lực và trao đổi thông tin trên cơ sở định kỳ/hoặc khi cần với các bên quan tâm, đồng thời lập thành văn bản, kiểm soát, duy trì và lưu giữ hệ thống tài liệu theo yêu cầu.

- Điều 8 thuộc Thực hiện. Điều này xác định các yêu cầu đối với kinh doanh liên tục, xác định cách thức giải quyết các yêu cầu này và xây dựng các thủ tục/quy trình để quản lý sự cố gián đoạn.

- Điều 9 thuộc Kiểm tra. Điều này tóm tắt các yêu cầu cần thiết đối với việc đo lường kết quả thực hiện quản lý kinh doanh liên tục, sự phù hợp của BCMS với tiêu chuẩn này và những mong đợi của lãnh đạo, tìm kiếm phản hồi của lãnh đạo về những mong đợi này.

...

...

...

AN NINH XÃ HỘI - HỆ THỐNG QUẢN LÝ KINH DOANH LIÊN TỤC - CÁC YÊU CẦU

Societal Security - Business Continuity Management Systems - Requirements

1  Phạm vi áp dụng

Tiêu chuẩn về quản lý kinh doanh liên tục này quy định các yêu cầu đối với việc hoạch định, thiết lập, áp dụng, triển khai, theo dõi, xem xét, duy trì và cải tiến liên tục hệ thống quản lý được lập thành văn bản nhằm bảo vệ khỏi, giảm khả năng xảy ra của, chuẩn bị cho, ứng phó với và khôi phục sau sự cố gián đoạn khi sự cố nảy sinh.

Các yêu cầu xác định trong tiêu chuẩn này mang tính khái quát và nhằm áp dụng cho mọi tổ chức hoặc các bộ phận của tổ chức, không phân biệt loại hình, quy mô và tính chất của tổ chức. Mức độ áp dụng các yêu cầu này phụ thuộc vào môi trường hoạt động và mức độ phức tạp của tổ chức.

Tiêu chuẩn này không hàm ý sự đồng nhất về cấu trúc của hệ thống quản lý kinh doanh liên tục (BCMS) mà để tổ chức thiết kế BCMS thích hợp với nhu cầu của mình và đáp ứng yêu cầu của các bên quan tâm của tổ chức. Những nhu cầu này được hình thành từ yêu cầu pháp lý, chế định, yêu cầu của tổ chức và ngành công nghiệp, sản phẩm và dịch vụ, các quá trình được thực hiện, quy mô và cơ cấu của tổ chức và yêu cầu của các bên quan tâm của tổ chức.

Tiêu chuẩn này áp dụng cho tổ chức ở mọi loại hình và quy mô và mong muốn:

a) thiết lập, áp dụng, duy trì và cải tiến BCMS,

b) đảm bảo sự phù hợp với chính sách kinh doanh liên tục đã tuyên bố,

...

...

...

d) muốn chứng nhận/đăng ký BCMS của mình bởi tổ chức chứng nhận bên thứ ba được công nhận,hoặc

e) thực hiện việc tự xác định và tự công bố sự phù hợp với tiêu chuẩn này.

Tiêu chuẩn này cổ thể được dùng để đánh giá khả năng của tổ chức trong việc đáp ứng nhu cầu và nghĩa vụ về tính liên tục của chính mình.

2  Tài liệu viện dẫn

Không có tài liệu viện dẫn.

3  Thuật ngữ và định nghĩa

Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa dưới đây.

3.1

Hoạt động

...

...

...

VÍ DỤ: Các quá trình này bao gồm kế toán, tổng đài, IT, sản xuất, phân phối.

3.2

Đánh giá

Quá trình có hệ thống, độc lập và được lập thành văn bản để thu được bằng chứng đánh giá và xem xét đánh giá chúng một cách khách quan để xác định mức độ thực hiện các chuẩn mực đánh giá.

CHÚ THÍCH 1: Đánh giá có thể là đánh giá nội bộ (bên thứ nhất) hoặc đánh giá bên ngoài (bên thứ hai hoặc thứ ba) và có thể là đánh giá kết hợp (kết hợp hai hay nhiều lĩnh vực)

CHÚ THÍCH 2: “Bằng chứng đánh giá” và “chuẩn mực đánh giá” được định nghĩa tại TCVN ISO 19011.

3.3

Kinh doanh liên tục

Tính liên tục trong kinh doanh

...

...

...

[NGUỒN: TCVN ISO 22300]

3.4

Quản lý kinh doanh liên tục

Quản lý tính liên tục trong kinh doanh

Quá trình quản lý toàn diện nhận biết các mối đe dọa tiềm ẩn với tổ chức và các tác động mà các mối đe dọa đó, nếu xảy ra, có thể gây ra cho các hoạt động kinh doanh và đưa ra khuôn khổ để xây dựng khả năng thích ứng của tổ chức với khả năng ứng phó có hiệu lực nhằm bảo vệ các lợi ích của các bên liên quan chủ yếu, danh tiếng, thương hiệu và các hoạt động tạo dựng giá trị của tổ chức.

3.5

Hệ thống quản lý kinh doanh liên tục

BCMS

Một phần trong tổng thể hệ thống quản lý thiết lập, áp dụng, triển khai, theo dõi, xem xét, duy trì và cải tiến kinh doanh liên tục.

...

...

...

3.6

Kế hoạch kinh doanh liên tục

Các thủ tục dạng văn bản hướng dẫn tổ chức ứng phó, phục hồi, tiếp tục và khôi phục lại hoạt động đến mức độ đã được xác định sau khi bị gián đoạn.

CHÚ THÍCH 1: Thông thường điều này bao gồm nguồn lực, dịch vụ và hoạt động cần thiết để đảm bảo tính liên tục của các chức năng kinh doanh quan trọng.

3.7

Chương trình kinh doanh liên tục

Quá trình quản lý và quản trị liên tục được hỗ trợ bởi lãnh đạo cao nhất và trang bị nguồn lực thích hợp để thực hiện và duy trì quản lý kinh doanh liên tục.

3.8

Phân tích tác động kinh doanh

...

...

...

[NGUỒN; TCVN ISO 22300]

3.9

Năng lực

Khả năng áp dụng kiến thức và kỹ năng để đạt được kết quả dự kiến.

3.10

Sự phù hợp

Sự đáp ứng một yêu cầu.

[NGUỒN: TCVN ISO 22300]

3.11

...

...

...

Hoạt động lặp lại để nâng cao kết quả thực hiện.

[NGUỒN: TCVN ISO 22300]

3.13

Khắc phục

Hành động nhằm loại bỏ sự không phù hợp được phát hiện.

[NGUỒN: TCVN ISO 22300]

3.13

Hành động khắc phục

Hành động nhằm loại bỏ nguyên nhân của sự không phù hợp và ngăn ngừa việc tái diễn.

...

...

...

[NGUỒN: TCVN ISO 22300]

3.14

Tài liệu

Thông tin và phương tiện chứa đựng thông tin.

CHÚ THÍCH 1: Phương tiện có thể là giấy, đĩa từ, đĩa điện tử, đĩa quang, ảnh, mẫu gốc hoặc tổ hợp các dạng trên.

CHÚ THÍCH 2: Tập hợp các tài liệu, ví dụ quy định và hồ sơ, thường được gọi là “hệ thống tài liệu”.

3.15

Thông tin dạng văn bản

Thông tin cần được tổ chức kiểm soát và duy trì và phương tiện chứa đựng thông tin.

...

...

...

CHÚ THÍCH 2: Thông tin dạng văn bản có thể đề cập tới:

- hệ thống quản lý, gồm cả các quá trình liên quan;

- thông tin được tạo ra cho việc vận hành của tổ chức (hệ thống tài liệu);

 - bằng chứng về các kết quả đạt được (hồ sơ).

3.16

Hiệu lực

Mức độ theo đó các hoạt động đã hoạch định được thực hiện và đạt được các kết quả theo hoạch định.

[NGUỒN: TCVN ISO 22300]

3.17

...

...

...

Sự xuất hiện hoặc thay đổi của một tập hợp các tình huống cụ thể.

CHÚ THÍCH 1: Một sự kiện có thể xảy ra một hoặc nhiều lần và có thể có nhiều nguyên nhân.

CHÚ THÍCH 2: Một sự kiện có thể gồm cả điều gì đó không xảy ra.

CHÚ THÍCH 3: Một sự kiện đôi khi có thể được coi là một “sự cố” hay “tai nạn”.

CHÚ THÍCH 4: Một sự kiện mà không có hệ quả cũng có thể được gọi là “thoát nạn” hoặc “thoát hiểm”.

[NGUỒN: TCVN 9788:2013]

3.18

Luyện tập

Quá trình để đào tạo, đánh giá, thực hành và cải tiến kết quả thực hiện trong một tổ chức.

...

...

...

CHÚ THÍCH 2: Một bài kiểm tra là loại hình luyện tập duy nhất và cụ thể trong đó kết hợp kỳ vọng về yếu tố đỗ hoặc trượt trong phạm vi mục đích hoặc mục tiêu luyện tập được hoạch định.

[NGUỒN: TCVN ISO 22300]

3.19

Sự cố

Tình huống có thể, hoặc dẫn đến sự gián đoạn, tổn thất, trường hợp khẩn cấp hoặc khủng hoảng.

[NGUỒN: TCVN ISO 22300]

3.20

Cơ sở hạ tầng

Hệ thống cơ sở vật chất, thiết bị và dịch vụ cần thiết cho hoạt động của tổ chức.

...

...

...

Bên quan tâm

Bên liên quan

Cá nhân hoặc tổ chức có thể ảnh hưởng, chịu ảnh hưởng hoặc cảm thấy bị ảnh hưởng bởi một quyết định hay hoạt động.

CHÚ THÍCH: Bên quan tâm có thể là cá nhân hay nhóm có sự quan tâm tới quyết định hay hoạt động của tổ chức.

3.22

Đánh giá nội bộ

Đánh giá được thực hiện bởi, hoặc với danh nghĩa của một tổ chức để phục vụ việc xem xét của lãnh đạo và các mục đích nội bộ khác và có thể là cơ sở cho việc tự công bố sự phù hợp của tổ chức.

CHÚ THÍCH 1: Trong nhiều trường hợp, cụ thể là với tổ chức nhỏ, sự độc lập có thể thể hiện bằng việc không chịu trách nhiệm đối với hoạt động được đánh giá.

3.23

...

...

...

Hành động công bố rằng các sắp đặt cho việc kinh doanh liên tục của tổ chức cần có hiệu lực nhằm duy trì việc cung cấp sản phẩm hoặc dịch vụ chính.

3.24

Hệ thống quản lý

Tập hợp các yếu tố có liên quan hoặc tương tác lẫn nhau của tổ chức để thiết lập chính sách, mục tiêu và các quá trình nhằm đạt được các mục tiêu đó.

CHÚ THÍCH 1: Một hệ thống quản lý có thể giải quyết một hay nhiều lĩnh vực.

CHÚ THÍCH 2: Các yếu tố của hệ thống bao gồm cơ cấu, vai trò và trách nhiệm, việc hoạch định, vận hành,... của tổ chức.

CHÚ THÍCH 3: Phạm vi của hệ thống quản lý có thể bao gồm toàn bộ tổ chức, các chức năng cụ thể được nhận biết trong tổ chức, các bộ phận cụ thể được nhận biết của tổ chức, hoặc một hay nhiều chức năng xuyên suốt một nhóm tổ chức.

3.25

Thời gian dừng tối đa chấp nhận được

...

...

...

Thời gian để các tác động bất lợi có thể nảy sinh từ kết quả của việc không cung cấp sản phẩm/dịch vụ hoặc không thực hiện một hoạt động trở nên không thể chấp nhận được.

CHÚ THÍCH 1: Xem thêm thời gian chịu gián đoạn tối đa

3.26

Thời gian chịu gián đoạn tối đa

MTPD

Thời gian để các tác động bất lợi có thể nảy sinh từ kết quả của việc không cung cấp sản phẩm/dịch vụ hoặc không thực hiện một hoạt động trở nên không thể chấp nhận được.

CHÚ THÍCH 1: Xem thêm thời gian dừng chấp nhận tối đa

3.27

Đo lường

...

...

...

3.28

Mục tiêu kinh doanh liên tục tối thiểu

MBCO

Mức tối thiểu của dịch vụ và/hoặc sản phẩm mà tổ chức có thể chấp nhận để đạt được mục tiêu kinh doanh của mình trong quá trình gián đoạn.

3.29

Theo dõi

Xác định tình trạng của hệ thống, quá trình hay hoạt động.

CHÚ THÍCH 1: Để xác định tình trạng có thể cần kiểm tra, giám sát hay quan trắc chặt chẽ.

3.30

...

...

...

Sự hiểu biết được sắp xếp trước giữa hai hay nhiều thực thể để hỗ trợ lẫn nhau.

[NGUỒN: TCVN ISO 22300]

3.31

Sự không phù hợp

Việc không đáp ứng một yêu cầu.

[NGUỒN: TCVN ISO 22300]

3.32

Mục tiêu

Kết quả cần đạt được.

...

...

...

CHÚ THÍCH 2: Các mục tiêu có thể liên quan đến các lĩnh vực khác nhau (như mục tiêu về tài chính, sức khỏe và an toàn, môi trường,...) và có thể áp dụng tại các cấp khác nhau (như chiến lược, toàn bộ tổ chức, dự án, sản phẩm hay quá trình).

CHÚ THÍCH 3: Mục tiêu có thể thể hiện theo những cách khác như kết quả dự kiến, mục đích, chuẩn mực về tác nghiệp, mục tiêu về an ninh xã hội hay sử dụng những từ ngữ khác có ý nghĩa tương tự (ví dụ mục đích, mục tiêu hướng tới, hay chỉ tiêu).

CHÚ THÍCH 4: Trong bối cảnh tiêu chuẩn về hệ thống quản lý an ninh xã hội, các mục tiêu về hoạt động an ninh xã hội được tổ chức lập ra, nhất quán với chính sách an ninh xã hội, nhằm đạt được các kết quả cụ thể.

3.33

Tổ chức

Người hoặc nhóm người với chức năng riêng của mình có trách nhiệm, quyền hạn và mối quan hệ để đạt được các mục tiêu của mình.

CHÚ THÍCH 1: Khái niệm tổ chức bao gồm nhưng không giới hạn ở thương nhân độc quyền, công ty, tập đoàn, hãng, xí nghiệp, cơ quan quản lý, câu lạc bộ, hiệp hội, hội từ thiện hay viện, hay một phần hoặc sự kết hợp của những loại hình trên dù có được hợp nhất hay không và là tổ chức công hay tư.

CHÚ THÍCH 2: Với tổ chức có nhiều hơn một đơn vị vận hành, một đơn vị vận hành riêng lẻ có thể coi là một tổ chức.

3.34

...

...

...

Thực hiện sự sắp đặt trong đó một tổ chức bên ngoài thực hiện một phần chức năng hoặc quá trình của tổ chức.

CHÚ THÍCH 1: Một tổ chức bên ngoài nằm ngoài phạm vi của hệ thống quản lý, mặc dù chức năng hoặc quá trình được thuê ngoài lại thuộc phạm vi của hệ thống quản lý.

3.35

Kết quả thực hiện

Kết quả có thể đo được.

CHÚ THÍCH 1: Kết quả thực hiện có thể liên quan đến cả các phát hiện định lượng hoặc định tính.

CHÚ THÍCH 2: Kết quả thực hiện có thể liên quan đến việc quản lý các hoạt động, quá trình, sản phẩm, dịch vụ, hệ thống hoặc tổ chức.

3.36

Đánh giá kết quả thực hiện

...

...

...

3.37

Nhân sự

Người làm việc cho tổ chức và thuộc kiểm soát của tổ chức.

CHÚ THÍCH 1: Khái niệm về nhân sự bao gồm, nhưng không giới hạn ở, nhân viên, nhân viên bán thời gian và cộng tác viên.

3.38

Chính sách

Ý đồ và định hướng của tổ chức được lãnh đạo cao nhất của tổ chức công bố một cách chính thức.

3.39

Thủ tục/quy trình

...

...

...

3.40

Quá trình

Tập hợp các hoạt động có liên quan hoặc tương tác lẫn nhau, sử dụng đầu vào để cho ra kết quả dự kiến.

3.41

Sản phẩm hoặc dịch vụ

Kết quả có lợi được tổ chức cung cấp cho khách hàng, bên tiếp nhận và các bên quan tâm, ví dụ sản phẩm được sản xuất, bảo hiểm xe hơi, điều dưỡng cộng đồng.

3.42

Hoạt động ưu tiên

Hoạt động phải được ưu tiên sau một sự cố nhằm giảm nhẹ tác động.

...

...

...

[NGUỒN: TCVN ISO 22300]

3.43

Hồ sơ

Tuyên bố về kết quả đạt được hoặc cung cấp bằng chứng về các hoạt động được thực hiện.

3.44

Mục tiêu về điểm phục hồi

RPO

Điểm tại đó thông tin được sử dụng bởi một hoạt động phải được khôi phục để cho phép hoạt động được tiếp tục.

CHÚ THÍCH 1: Cũng có thể được gọi là “tổn thất dữ liệu tối đa”.

...

...

...

Mục tiêu về thời gian phục hồi

RTO

Khoảng thời gian sau khi xảy ra sự cố trong đó:

- sản phẩm hay dịch vụ phải được tiếp tục

- hoạt động phải được tiếp tục, hoặc

- nguồn lực được khôi phục

CHÚ THÍCH 1: Với sản phẩm, dịch vụ và hoạt động, mục tiêu về thời gian phục hồi phải ít hơn thời gian cho các tác động bất lợi nảy sinh do việc không cung cấp sản phẩm/dịch vụ hoặc không thực hiện hoạt động trở nên không thể chấp nhận được.

3.46

Yêu cầu

...

...

...

CHÚ THÍCH 1: “Ngầm hiểu chung” nghĩa là đối với tổ chức và các bên liên quan nhu cầu hoặc mong đợi được coi là ngầm hiểu mang tính thông lệ hoặc thực hành chung.

CHÚ THÍCH 2: Yêu cầu được quy định là yêu cầu đã được công bố, ví dụ trong thông tin dạng văn bản.

3.47

Nguồn lực

Toàn bộ tài sản, con người, kỹ năng, thông tin, công nghệ (gồm cả nhà máy và thiết bị), nhà xưởng, vật tư cung ứng và thông tin (kể cả thông tin điện tử hoặc không phải thông tin điện tử) mà tổ chức phải sẵn có để sử dụng khi cần nhằm thực hiện và đạt được các mục tiêu của mình.

3.48

Rủi ro

Tác động của sự không chắc chắn lên mục tiêu.

CHÚ THÍCH 1: Tác động là một sai lệch so vơi dự kiến - tích cực hoặc tiêu cực.

...

...

...

CHÚ THÍCH 3: Rủi ro thường đặc trưng bởi sự dẫn chiếu đến các sự kiện (3.5.1.3, TCVN 9788) và hệ quả (3.6.1.3, TCVN 9788) tiềm ẩn, hoặc sự kết hợp giữa chúng.

CHÚ THÍCH 4: Rủi ro thường thể hiện theo cách kết hợp các hệ quả của một sự kiện (bao gồm cả những thay đổi về hoàn cảnh) và khả năng xảy ra (3.6.1.1, TCVN 9788) kèm theo.

CHÚ THÍCH 5: Sự không chắc chắn là tình trạng, thậm chí là một phần, thiếu hụt thông tin liên quan tới việc hiểu hoặc nhận thức về một sự kiện, hệ quả của sự kiện đó, hoặc khả năng xảy ra của nó.

CHÚ THÍCH 6: Trong bối cảnh tiêu chuẩn về BCMS, mục tiêu kinh doanh liên tục được tổ chức thiết lập nhất quán với chính sách kinh doanh liên tục để đạt được các kết quả cụ thể. Khi áp dụng thuật ngữ rủi ro và các thành phần của quản lý rủi ro thì cần liên quan đến mục tiêu của tổ chức bao gồm, nhưng không giới hạn ở mục tiêu kinh doanh liên tục nêu ở 6.2.

[NGUỒN: TCVN 9788]

3.49

Ưa thích rủi ro

Lượng và loại rủi ro mà tổ chức mong muốn theo đuổi hoặc giữ lại.

3.50

...

...

...

Quá trình tổng thể gồm nhận diện rủi ro, phân tích rủi ro và định mức rủi ro.

3.51

Quản lý rủi ro

Các hoạt động có phối hợp để định hướng và kiểm soát một tổ chức về mặt rủi ro.

[NGUỒN: TCVN 9788]

3.52

Thử nghiệm

Thủ tục để xem xét đánh giá; là một phương thức để xác định sự hiện diện, chất lượng hoặc tính xác thực của một sự việc.

CHÚ THÍCH 1: Thử nghiệm có thể được coi là “làm thử'’.

...

...

...

[NGUỒN: TCVN ISO 22300]

3.53

Lãnh đạo cao nhất

Người hoặc nhóm người định hướng và kiểm soát tổ chức ở cấp cao nhất.

CHÚ THÍCH 1: Lãnh đạo cao nhất có quyền ủy quyền và cung cấp nguồn lực trong phạm vi tổ chức.

CHÚ THÍCH 2: Nếu phạm vi của hệ thống quản lý chi bao gồm một phần của tổ chức, thì lãnh đạo cao nhất chỉ những người định hướng và kiểm soát phần đó của tổ chức.

3.54

Kiểm tra xác nhận

Việc xác nhận, thông qua việc cung cấp bằng chứng khách quan, rằng các yêu cầu xác định được thực hiện

...

...

...

Môi trường làm việc

Tập hợp các điều kiện để thực hiện công việc.

CHÚ THÍCH 1: Các điều kiện có thể bao gồm các yếu tố vật lý, xã hội, tâm lý và môi trường (như nhiệt độ, ánh sáng, phương thức thừa nhận, ec-gô-nô-mi và thành phần không khí).

[NGUỒN: TCVN ISO 22300]

4  Bối cảnh của tổ chức

4.1  Hiểu tổ chức và bối cảnh của tổ chức

Tổ chức phải xác định các vấn đề bên ngoài và nội bộ liên quan đến mục đích của mình và ảnh hưởng đến khả năng của tổ chức trong việc đạt được (các) kết quả dự kiến của hệ thống quản lý kinh doanh liên tục (BCMS) của tổ chức.

Các vấn đề phải được tính đến khi thiết lập, áp dụng và duy trì BCMS của tổ chức. Tổ chức phải nhận biết và lập thành văn bản:

a) các hoạt động, chức năng, dịch vụ, sản phẩm, quan hệ đối tác, chuỗi cung ứng của tổ chức, mối quan hệ của tổ chức với các bên quan tâm và tác động tiềm ẩn liên quan tới sự cố gián đoạn;

...

...

...

c) sở thích rủi ro của tổ chức.

Khi thiết lập bối cảnh, tổ chức phải:

1) nêu rõ các mục tiêu của mình, gồm cả những mục tiêu liên quan đến kinh doanh liên tục,

2) xác định các yếu tố nội bộ và bên ngoài gây ra sự không chắc chắn làm tăng rủi ro,

3) lập tiêu chí rủi ro có tính đến sự ưa thích rủi ro và

4) xác định mục đích của BCMS.

4.2  Hiểu nhu cầu và mong đợi của các bên quan tâm

4.2.1  Khái quát

Khi thiết lập BCMS, tổ chức phải xác định:

...

...

...

b) yêu cầu của các bên quan tâm đó (nghĩa là nhu cầu và mong đợi được tuyên bố, ngầm hiểu chung hoặc bắt buộc).

4.2.2  Yêu cầu pháp lý và chế định

Tổ chức phải thiết lập, áp dụng và duy trì (các) thủ tục đối với việc nhận biết, có sự tiếp cận và đánh giá các yêu cầu pháp lý và chế định hiện hành mà tổ chức đăng ký liên quan đến tính liên tục trong hoạt động, sản phẩm và dịch vụ của tổ chức cũng như lợi ích của các bên quan tâm có liên quan.

Tổ chức phải đảm bảo rằng các yêu cầu pháp lý, chế định hiện hành và các yêu cầu khác mà tổ chức đăng ký được tính đến khi thiết lập, áp dụng, duy trì BCMS của mình.

Tổ chức phải lập thành văn bản và cập nhật thông tin này. Những điểm mới hay thay đổi trong yêu cầu pháp lý, chế định và yêu cầu khác phải được trao đổi thông tin với nhân viên chịu ảnh hưởng và các bên quan tâm khác.

4.3  Xác định phạm vi của hệ thống quản lý kinh doanh liên tục

4.3.1  Khái quát

Tổ chức phải xác định ranh giới và khả năng áp dụng của BCMS để thiết lập phạm vi của hệ thống. Khi xác định phạm vi này, tổ chức phải xem xét:

- các vấn đề bên ngoài và nội bộ để cập ở 4.1, và

...

...

...

Phạm vi này phải sẵn có bảng thông tin dạng văn bản.

4.3.2  Phạm vi của BCMS

Tổ chức phải:

a) thiết lập các phần của tổ chức thuộc BCMS,

b)  thiết lập các yêu cầu của BCMS, có xem xét đến sứ mệnh, mục đích, các nghĩa vụ nội bộ và bên ngoài (bao gồm các nghĩa vụ liên quan đến các bên quan tâm) và các trách nhiệm pháp lý và chế định của tổ chức,

b) nhận biết sản phẩm và dịch vụ và tất cả các hoạt động liên quan trong phạm vi của BCMS,

d) tính đến nhu cầu và lợi ích của các bên quan tâm, như khách hàng, nhà đầu tư, cổ đông, chuỗi cung ứng, đầu vào và nhu cầu, mong đợi và lợi ích (khi thích hợp) của công chúng và/hoặc cộng đồng, và

e) xác định phạm vi của BCMS theo và thích hợp với quy mô, tính chất và mức độ phức tạp của tổ chức.

Khi xác định phạm vi, tổ chức phải lập thành văn bản và giải thích các ngoại lệ; mọi ngoại lệ đều không được ảnh hưởng đến khả năng và trách nhiệm của tổ chức trong việc thực hiện kinh doanh liên tục và các hoạt động đáp ứng yêu cầu của BCMS được xác định trong phân tích tác động kinh doanh hoặc đánh giá rủi ro và các yêu cầu pháp lý hoặc chế định hiện hành.

...

...

...

Tổ chức phải thiết lập, thực hiện, duy trì và cải tiến liên tục BCMS, bao gồm các quá trình cần thiết và sự tương tác giữa các quá trình, theo các yêu cầu của tiêu chuẩn này.

5  Sự lãnh đạo

5.1  Sự lãnh đạo và cam kết

Những người ở vị trí lãnh đạo cao nhất và các vai trò lãnh đạo khác có liên quan trong toàn bộ tổ chức phải chứng tỏ sự lãnh đạo đối với BCMS.

VÍ DỤ: Sự lãnh đạo và cam kết có thể được thể hiện bằng việc tạo động lực và trao quyền cho mọi người để đóng góp cho hiệu lực của BCMS.

5.2  Cam kết của lãnh đạo

Lãnh đạo cao nhất phải chứng tỏ sự lãnh đạo và cam kết đối với BCMS thông qua việc:

- đảm bảo rằng chính sách và mục tiêu được thiết lập đối với BCMS và tương thích với định hướng chiến lược của tổ chức;

- đảm bảo tích hợp các yêu cầu của BCMS vào các quá trình hoạt động chủ chốt của tổ chức;

...

...

...

- trao đổi thông tin về tầm quan trọng của quản lý kinh doanh liên tục có hiệu lực và của sự phù hợp với các yêu cầu của BCMS;

- đảm bảo BCMS đạt được (các) kết quả dự kiến;

- định hướng và hỗ trợ mọi người cùng đóng góp cho hiệu lực của BCMS,

- thúc đẩy cải tiến liên tục; và

- hỗ trợ các vị trí quản lý liên quan khác chứng tỏ sự lãnh đạo và cam kết của họ ở các khu vực họ chịu trách nhiệm.

CHÚ THÍCH: Từ “hoạt động chủ chốt” được đề cập trong tiêu chuẩn này có thể được diễn giải theo nghĩa rộng gồm các hoạt động cốt lõi đối với mục đích tồn tại của tổ chức.

Lãnh đạo cao nhất phải cung cấp bằng chứng về cam kết của mình đối với việc thiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến BCMS thông qua việc:

- thiết lập chính sách kinh doanh liên tục,

- đảm bảo rằng các mục tiêu và kế hoạch BCMS được thiết lập,

...

...

...

- phân công một hay nhiều người chịu trách nhiệm đối với BCMS và có quyền hạn và năng lực thích hợp để chịu trách nhiệm giải trình đối với việc thực hiện và duy trì BCMS.

CHÚ THÍCH 2: Những người này có thể có các trách nhiệm khác trong tổ chức.

Lãnh đạo cao nhất phải đảm bảo rằng các trách nhiệm và quyền hạn đối với các vai trò liên quan được phân công và được trao đổi thông tin trong tổ chức thông qua việc;

- xác định tiêu chí đối với việc chấp nhận rủi ro và mức rủi ro có thể chấp nhận,

- tham gia tích cực vào việc tập luyện và thử nghiệm,

- đảm bảo các cuộc đánh giá nội bộ BCMS được tiến hành,

- thực hiện xem xét của lãnh đạo về BCMS, và

- chứng tỏ cam kết của mình đối với việc cải tiến liên tục.

5.3  Chính sách

...

...

...

a) phù hợp với mục đích của tổ chức;

b) đưa ra khuôn khổ cho việc thiết lập các mục tiêu kinh doanh liên tục;

c) bao gồm việc cam kết thỏa mãn các yêu cầu được áp dụng;

d) bao gồm việc cam kết cải tiến liên tục BCMS.

Chính sách BCMS phải:

- sẵn có bằng thông tin dạng văn bản;

- được truyền đạt trong tổ chức;

- sẵn có cho các bên quan tâm liên quan, khi thích hợp,

- được xem xét để đảm bảo sự phù hợp liên tục theo những khoảng thời gian xác định và khi có những thay đổi đáng kể.

...

...

...

5.4  Vai trò, trách nhiệm và quyền hạn trong tổ chức

Lãnh đạo cao nhất phải đảm bảo rằng trách nhiệm và quyền hạn của các vị trí thích hợp được phân công và truyền đạt trong tổ chức.

Lãnh đạo cao nhất phải phân công trách nhiệm và quyền hạn để:

a) đảm bảo rằng hệ thống quản lý phù hợp với các yêu cầu của tiêu chuẩn này; và

b) báo cáo về kết quả thực hiện BCMS cho lãnh đạo cao nhất.

6  Hoạch định

6.1  Hành động giải quyết rủi ro và cơ hội

Khi hoạch định BCMS, tổ chức phải xem xét các vấn đề được đề cập ở 4.1 và các yêu cầu được để cập ở 4.2 và xác định các rủi ro và cơ hội cần giải quyết nhằm:

- đảm bảo rằng hệ thống quản lý có thể đạt được (các) kết quả dự kiến;

...

...

...

- đạt được cải tiến liên tục.

Tổ chức phải hoạch định:

a) các hành động để giải quyết những rủi ro và cơ hội này;

b) cách thức để:

1) tích hợp và thực hiện các hành động này vào các quá trình của BCMS (xem 8.1);

2) xem xét đánh giá hiệu lực của những hành động này (xem 9.1).

6.2  Mục tiêu kinh doanh liên tục và các kế hoạch để đạt được mục tiêu

Lãnh đạo cao nhất phải đảm bảo rằng các mục tiêu kinh doanh liên tục được thiết lập và trao đổi thông tin đối với các cấp và bộ phận chức năng liên quan trong tổ chức.

Mục tiêu kinh doanh liên tục phải:

...

...

...

b) tính đến mức tối thiểu của sản phẩm và dịch vụ được tổ chức chấp nhận để đạt được mục tiêu,

c) đo được;

d) tính đến các yêu cầu được áp dụng;

e) được theo dõi và cập nhật khi thích hợp.

Tổ chức phải lưu giữ thông tin dạng văn bản về mục tiêu kinh doanh liên tục.

Để đạt được các mục tiêu kinh doanh liên tục của mình, tổ chức phải xác định;

- ai là người chịu trách nhiệm;

- việc gì sẽ thực hiện;

- nguồn lực nào là cần thiết;

...

...

...

- kết quả sẽ được đánh giá như thế nào.

7  Hỗ trợ

7.1  Nguồn lực

Tổ chức phải xác định và cung cấp nguồn lực cần thiết cho việc thiết lập, áp dụng, duy trì và cải tiến liên tục BCMS.

7.2  Năng lực

Tổ chức phải:

a) xác định năng lực cần thiết của (những) người thực hiện công việc dưới sự kiểm soát của tổ chức có ảnh hưởng tới kết quả thực hiện của tổ chức;

b) đảm bảo rằng những người này có năng lực trên cơ sở giáo dục, đào tạo và kinh nghiệm thích hợp;

c) khi có thể, thực hiện các hành động để đạt được năng lực cần thiết và đánh giá hiệu lực của những hành động được thực hiện; và

...

...

...

CHÚ THÍCH: Hành động thích hợp có thể bao gồm, ví dụ cung cấp đào tạo, kèm cặp hoặc phân công lại nhân sự đang được sử dụng; hay thuê hoặc ký hợp đồng với nhân sự có năng lực.

7.3  Nhận thức

Người thực hiện công việc dưới sự kiểm soát của tổ chức phải nhận thức được về:

a) chính sách kinh doanh liên tục;

b) đóng góp của họ cho hiệu lực của BCMS, bao gồm cả lợi ích của kết quả thực hiện quản lý kinh doanh liên tục được cải tiến;

c) hậu quả của việc không tuân thủ các yêu cầu của BCMS, và

d) vai trò của họ trong quá trình xảy ra sự cố gián đoạn.

7.4  Trao đổi thông tin

Tổ chức phải xác định nhu cầu đối với hoạt động trao đổi thông tin nội bộ và bên ngoài liên quan đến BCMS, bao gồm:

...

...

...

b) trao đổi thông tin khi nào;

c) trao đổi thông tin với ai.

Tổ chức phải thiết lập, thực hiện và duy trì (các) thủ tục đối với việc:

- trao đổi thông tin nội bộ giữa các bên quan tâm và nhân viên trong tổ chức,

- trao đổi thông tin bên ngoài với khách hàng, các đối tác, cộng đồng địa phương và các bên quan tâm khác, bao gồm cả truyền thông,

- tiếp nhận, lập thành văn bản và đáp ứng việc trao đổi thông tin từ các bên quan tâm,

- thích ứng và tích hợp hệ thống tư vấn về mối đe dọa của quốc gia hoặc khu vực, hoặc hệ thống tương đương, vào việc hoạch định và sử dụng tác nghiệp, khi thích hợp, đảm bảo sẵn có các phương tiện trao đổi thông tin khi xảy ra sự cố gián đoạn,

- hỗ trợ việc trao đổi thông tin được cấu trúc với cơ quan có thẩm quyền thích hợp và đảm bảo khả năng tương tác giữa nhiều tổ chức và nhân viên phản hồi, khi thích hợp, và

- triển khai và thử nghiệm khả năng trao đổi thông tin dự định sử dụng khi gián đoạn việc trao đổi thông tin thông thường.

...

...

...

7.5  Thông tin dạng văn bản

7.5.1  Khái quát

BCMS của tổ chức phải bao gồm:

a) thông tin dạng văn bản theo yêu cầu của tiêu chuẩn này;

b) thông tin dạng văn bản được tổ chức xác định là cần thiết để đảm bảo hiệu lực của BCMS.

CHÚ THÍCH: Mức độ thông tin dạng văn bản đối với BCMS có thể khác nhau giữa các tổ chức do:

- quy mô của tổ chức và loại hình hoạt động, quá trình, sản phẩm và dịch vụ của tổ chức;

- mức độ phức tạp của các quá trình và sự tương tác giữa các quá trình;

- năng lực của nhân sự.

...

...

...

Khi tạo lập và cập nhật thông tin dạng văn bản, tổ chức phải đảm bảo sự thích hợp của:

a) việc nhận biết và mô tả (ví dụ tiêu đề, thời gian, tác giả hoặc số tham chiếu);

b) định dạng (ví dụ ngôn ngữ, phiên bản phần mềm, đồ thị) và phương tiện truyền thông (bản giấy, bản điện tử), và việc xem xét và phê duyệt sự phù hợp và thỏa đáng.

7.5.3  Kiểm soát thông tin dạng văn bản

Thông tin dạng văn bản theo theo yêu cầu của BCMS và của tiêu chuẩn này phải được kiểm soát nhằm đảm bảo:

a) sẵn có và phù hợp để sử dụng tại nơi và khi cần;

b) được bảo vệ một cách thỏa đáng (ví dụ tránh mất tính bảo mật, sử dụng sai mục đích hoặc mất tính toàn vẹn).

Để kiểm soát thông tin dạng văn bản, tổ chức phải giải quyết các hoạt động sau, khi có thể áp dụng được:

- phân phối, tiếp cận, khôi phục và sử dụng;

...

...

...

- kiểm soát các thay đổi (ví dụ kiểm soát phiên bản);

- lưu giữ và hủy bỏ,

- khôi phục và sử dụng,

- bảo quản để có thể đọc được (nghĩa là đủ rõ để đọc), và

- ngăn ngừa việc vô tình sử dụng các thông tin lỗi thời.

Thông tin dạng văn bản có nguồn gốc bên ngoài được tổ chức xác định là cần thiết cho việc hoạch định và thực hiện BCMS phải được nhận biết khi thích hợp và được kiểm soát.

Khi thiết lập kiểm soát thông tin dạng văn bản, tổ chức phải đảm bảo có sự bảo vệ thỏa đáng đối với thông tin dạng văn bản (ví dụ bảo vệ khỏi việc gây tổn hại, sửa đổi trái phép hoặc xóa bỏ).

CHÚ THÍCH: Tiếp cận hàm ý một quyết định về việc chi cho phép xem thông tin dạng văn bản hoặc cho phép và giao quyền xem và thay đổi thông tin dạng văn bản,...

8  Thực hiện

...

...

...

Tổ chức phải hoạch định, thực hiện và kiểm soát các quá trình cần thiết để đáp ứng các yêu cầu và để thực hiện các hành động xác định ở 6.1, thông qua việc:

a) thiết lập tiêu chí đối với các quá trình,

b) thực hiện kiểm soát các quá trình theo các tiêu chí này, và

c) duy trì và lưu giữ thông tin dạng văn bản ở mức độ cần thiết để có sự tin tưởng rằng các quá trình được thực hiện như đã hoạch định.

Tổ chức phải kiểm soát những thay đổi theo hoạch định và xem xét các hệ quả của những thay đổi ngoài dự kiến, thực hiện hành động để giảm nhẹ mọi tác động bất lợi khi cần.

Tổ chức phải đảm bảo rằng các quá trình thuê ngoài đều được kiểm soát.

8.2  Phân tích tác động kinh doanh và đánh giá rủi ro

8.2.1  Khái quát

Tổ chức phải thiết lập, thực hiện và duy trì quá trình chính thức và được lập thành văn bản đối với việc phân tích tác động kinh doanh và đánh giá rủi ro, quá trình này

...

...

...

b) tính đến các yêu cầu pháp lý và yêu cầu khác mà tổ chức đăng ký.

c) bao gồm phân tích có hệ thống, lập thứ tự ưu tiên trong xử lý rủi ro và chi phí có liên quan,

d) xác định đầu ra cần thiết từ việc phân tích tác động kinh doanh và đánh giá rủi ro, và

e) xác định các yêu cầu đối với thông tin phải được cập nhật và bảo mật.

CHÚ THÍCH: Có nhiều phương pháp khác nhau cho hoạt động phân tích tác động kinh doanh và đánh giá rủi ro theo đó sẽ xác định trình tự việc này được tiến hành.

8.2.2  Phân tích tác động kinh doanh

Tổ chức phải thiết lập, thực hiện và duy trì quá trình đánh giá chính thức và được lập thành văn bản đối với việc xác định tính liên tục và thứ tự ưu tiên việc phục hồi, các mục tiêu và chỉ tiêu phục hồi. Quá trình này phải bao gồm việc đánh giá tác động của việc gián đoạn các hoạt động hỗ trợ sản phẩm và dịch vụ của tổ chức.

Phân tích tác động kinh doanh phải bao gồm:

a) nhận biết các hoạt động hỗ trợ việc cung cấp sản phẩm và dịch vụ;

...

...

...

c) thiết lập khuôn khổ thời gian theo thứ tự ưu tiên cho việc tiếp tục các hoạt động ở mức chấp nhận tối thiểu đã xác định, có tính đến thời gian trong đó tác động của việc không tiếp tục hoạt động có thể trở nên không thể chấp nhận được, và

d) nhận biết sự lệ thuộc và các nguồn lực hỗ trợ cho các hoạt động này, bao gồm nhà cung ứng, đối tác thuê ngoài và các bên quan tâm có liên quan khác.

8.2.3  Đánh giá rủi ro

Tổ chức phải thiết lập, thực hiện và duy trì quá trình đánh giá rủi ro chính thức và được lập thành văn bản, quá trình đó nhận diện, phân tích và định mức một cách có hệ thống rủi ro của sự cố gián đoạn đối với tổ chức.

CHÚ THÍCH: Quá trình này có thể được lập theo TCVN ISO 31000.

Tổ chức phải:

a) nhận diện rủi ro của việc gián đoạn các hoạt động ưu tiên của tổ chức và các quá trình, hệ thống, thông tin, con người, tài sản, đối tác thuê ngoài và các nguồn lực khác hỗ trợ cho các hoạt động này,

b) phân tích rủi ro một cách hệ thống,

c) đánh giá rủi ro liên quan tới gián đoạn nào cần xử lý, và

...

...

...

CHÚ THÍCH: Tổ chức phải nhận thức rằng các nghĩa vụ nhất định về tài chính hoặc với chính phủ đòi hỏi việc trao đổi thông tin về những rủi ro này ở mức độ chi tiết khác nhau. Ngoài ra, những nhu cầu nhất định của xã hội cũng có thể đảm bảo việc chia sẻ thông tin này ở mức độ chi tiết thích hợp.

8.3  Chiến lược kinh doanh liên tục

8.3.1  Xác định và lựa chọn

Việc xác định và lựa chọn chiến lược phải dựa trên cơ sở đầu ra từ phân tích tác động kinh doanh và đánh giá rủi ro.

Tổ chức phải xác định chiến lược kinh doanh liên tục thích hợp để

a) bảo vệ các hoạt động được ưu tiên,

b) ổn định, duy trì, tiếp tục và phục hồi các hoạt động ưu tiên, sự phụ thuộc của các hoạt động này và hỗ trợ các nguồn lực, và

c) giảm nhẹ, ứng phó và quản lý tác động.

Việc xác định chiến lược phải bao gồm việc phê duyệt khuôn khổ thời gian ưu tiên đối với việc tiếp tục lại hoạt động. Tổ chức phải thực hiện việc đánh giá khả năng kinh doanh liên tục của các nhà cung ứng.

...

...

...

Tổ chức phải xác định các yêu cầu về nguồn lực cho việc thực hiện các chiến lược được lựa chọn. Loại nguồn lực được xem xét phải bao gồm, nhưng không giới hạn ở:

a) con người,

b) thông tin và dữ liệu,

c) công trình, môi trường làm việc và tiện ích liên quan,

d) cơ sử vật chất, thiết bị và vật tư tiêu hao,

e) hệ thống công nghệ thông tin và truyền thông (ICT),

f) vận chuyển,

g) tài chính, và

h) đối tác và nhà cung ứng.

...

...

...

Đối với các rủi ro được nhận diện cần xử lý, tổ chức phải xem xét các biện pháp chủ động làm:

a) giảm khả năng xảy ra gián đoạn,

b) rút ngắn thời gian gián đoạn, và

c) hạn chế tác động của việc gián đoạn tới các sản phẩm, dịch vụ chính của tổ chức.

Tổ chức phải lựa chọn và thực hiện các biện pháp xử lý rủi ro thích hợp theo mức độ ưa thích rủi ro của mình.

8.4  Thiết lập và thực hiện thủ tục về kinh doanh liên tục

8.4.1  Khái quát

Tổ chức phải thiết lập, thực hiện và duy trì các thủ tục về kinh doanh liên tục để quản lý sự cố gián đoạn và tiếp tục các hoạt động của mình trên cơ sở các mục tiêu phục hồi được xác định trong phân tích tác động kinh doanh.

Tổ chức phải lập thành văn bản các thủ tục (gồm cả các sắp đặt cần thiết) để đảm bảo tính liên tục cho các hoạt động và quản lý sự cố gián đoạn.

...

...

...

a) thiết lập giao thức trao đổi thông tin nội bộ và bên ngoài thích hợp,

b) cụ thể về các bước phải thực hiện ngay lập tức khi gián đoạn,

c) linh hoạt trong việc ứng phó với các đe dọa ngoài dự kiến và các điều kiện nội bộ và bên ngoài thay đổi,

d) tập trung vào tác động của sự kiện có thể làm gián đoạn hoạt động,

e) được xây dựng trên cơ sở các giả định được tuyên bố và phân tích sự phụ thuộc lẫn nhau, và

f) có hiệu lực trong việc giảm thiểu hệ quả thông qua việc áp dụng các chiến lược giảm nhẹ thích hợp.

8.4.2  Cơ cấu ứng phó sự cố

Tổ chức phải thiết lập, lập thành văn bản và thực hiện các thủ tục và cơ cấu quản lý để ứng phó với sự cố gián đoạn bằng việc sử dụng nhân sự với các trách nhiệm, quyền hạn và năng lực cần thiết để quản lý sự cố.

Cơ cấu ứng phó phải

...

...

...

b) đánh giá tính chất và mức độ của sự cố gián đoạn và tác động tiềm ẩn của nó,

c) kích hoạt việc ứng phó thích hợp về kinh doanh liên tục,

d) có các quá trình, thủ tục đối với việc kích hoạt, thực hiện, điều phối và trao đổi thông tin về ứng phó này,

e) sẵn có nguồn lực để hỗ trợ cho các quá trình và thủ tục quản lý sự cố gián đoạn nhằm giảm thiểu tác động, và

f) trao đổi thông tin với các bên quan tâm và cơ quan có thẩm quyền và truyền thông.

Tổ chức phải quyết định, với việc coi an toàn tính mạng là ưu tiên hàng đầu và tham vấn các bên quan tâm, có trao đổi thông tin với bên ngoài về những rủi ro và các tác động đáng kể của mình hay không và lập thành văn bản quyết định này của mình. Khi quyết định là có trao đổi thông tin thì tổ chức phải thiết lập và thực hiện thủ tục về việc trao đổi thông tin với bên ngoài này, các báo động và cảnh báo gồm cả phương tiện truyền thông khi thích hợp.

8.4.3  Cảnh báo và trao đổi thông tin

Tổ chức phải thiết lập, thực hiện và duy trì các thủ tục đối với việc

a) phát hiện sự cố,

...

...

...

c) trao đổi thông tin nội bộ trong phạm vi tổ chức và tiếp nhận, lập thành văn bản và đáp ứng việc trao đổi thông tin từ các bên quan tâm,

d) tiếp nhận, lập thành văn bản và đáp ứng hệ thống tư vấn về rủi ro quốc gia hoặc khu vực hoặc hệ thống tương tự,

e) đảm bảo sẵn có các phương tiện trao đổi thông tin khi xảy ra sự cố gián đoạn,

f) hỗ trợ việc trao đổi thông tin có cấu trúc với các bên ứng phó khẩn cấp,

g) ghi nhận thông tin quan trọng về sự cố, hành động được thực hiện và quyết định được đưa ra và nếu có thể phải xem xét và thực hiện:

- việc cảnh báo cho các bên quan tâm có thể bị ảnh hưởng bởi sự cố gián đoạn đó hoặc sự cố sắp xảy ra;

- đảm bảo khả năng tương tác giữa nhiều tổ chức và nhân sự ứng phó;

- vận hành cơ sở trao đổi thông tin.

Thủ tục trao đổi thông tin và cảnh báo phải được luyện tập thường xuyên.

...

...

...

Tổ chức phải thiết lập thủ tục dạng văn bản đối với việc ứng phó với sự cố gián đoạn và cách thức tổ chức sẽ tiếp tục hoặc khôi phục hoạt động của mình trong khoảng thời gian xác định. Thủ tục này phải giải quyết các yêu cầu của những người sẽ sử dụng chúng.

Kế hoạch kinh doanh liên tục phải bao gồm toàn bộ:

a) vai trò và trách nhiệm xác định đối với người và nhóm có quyền trong và sau sự cố,

b) quá trình kích hoạt ứng phó,

c) chi tiết cho việc quản lý các hệ quả tức thời của sự cố gián đoạn liên quan tới

1) lợi ích của cá nhân,

2) các lựa chọn chiến lược, chiến thuật và tác nghiệp để ứng phó với việc gián đoạn, và

3) ngăn ngừa thiệt hại thêm hoặc sự không sẵn có các hoạt động ưu tiên;

d) chi tiết về cách thức và theo những trường hợp nào tổ chức sẽ trao đổi thông tin với nhân viên và người thân của họ, các bên quan tâm chính và đầu mối liên hệ khẩn cấp,

...

...

...

f) chi tiết về việc ứng phó của tổ chức qua truyền thông sau sự cố, bao gồm

1) chiến lược trao đổi thông tin,

2) giao diện ưu tiên với truyền thông,

3) hướng dẫn hoặc mẫu để soạn thảo tuyên bố truyền thông, và

4) người phát ngôn thích hợp;

g) quá trình nới lỏng sau khi đã qua sự cố.

Từng kế hoạch phải xác định

- mục đích và phạm vi,

- mục tiêu,

...

...

...

- thủ tục áp dụng,

- vai trò, trách nhiệm và quyền hạn,

- các yêu cầu và thủ tục trao đổi thông tin,

- sự phụ thuộc và tương tác lẫn nhau trong nội bộ và bên ngoài,

- yêu cầu về nguồn lực, và

- dòng thông tin và quá trình lập văn bản.

8.4.5  Phục hồi

Tổ chức phải có thủ tục dạng văn bản đối với việc khôi phục và trở lại hoạt động kinh doanh của mình bằng các biện pháp tạm thời được chấp nhận để hỗ trợ cho các yêu cầu thông thường về kinh doanh sau sự cố.

8.5  Luyện tập và thử nghiệm

...

...

...

Tổ chức phải thực hiện các bài luyện tập và bài kiểm tra:

a) nhất quán với phạm vi và mục tiêu của BCMS,

b) dựa trên các kịch bản thích hợp được lập kế hoạch với các mục đích và mục tiêu được xác định rõ,

c) được thực hiện đồng thời theo thời gian để xác nhận giá trị sử dụng của toàn bộ các sắp đặt về kinh doanh liên tục của tổ chức, với sự tham gia của các bên quan tâm có liên quan,

d) giảm thiểu rủi ro của việc gián đoạn các hoạt động,

e) lập các báo cáo chính thức sau tập luyện bao gồm các kết quả, khuyến nghị và hành động để thực hiện cải tiến,

f) được xem xét trong bối cảnh thúc đẩy cải tiến liên tục, và

g) được thực hiện theo các khoảng thời gian đã hoạch định và khi có những thay đổi đáng kể trong tổ chức hoặc với môi trường trong đó tổ chức hoạt động.

9  Đánh giá kết quả thực hiện

...

...

...

9.1.1 Khái quát

Tổ chức phải xác định:

a) những gì cần được theo dõi và đo lường;

b) phương pháp theo dõi, đo lường, phân tích và đánh giá, khi có thể thực hiện được để đảm bảo kết quả có giá trị sử dụng;

c) khi nào phải thực hiện theo dõi và đo lường;

d) khi nào các kết quả theo dõi và đo lường phải được phân tích và đánh giá.

Tổ chức phải lưu giữ thông tin dạng văn bản thích hợp làm bằng chứng về những kết quả này.

Tổ chức phải đánh giá kết quả thực hiện BCMS và hiệu lực của BCMS. Ngoài ra, tổ chức phải

- thực hiện hành động khi cần để giải quyết các xu hướng hoặc kết quả bất lợi trước khi xảy ra sự không phù hợp, và

...

...

...

Thủ tục theo dõi kết quả thực hiện phải cung cấp cho việc

- thiết lập các thước đo kết quả thực hiện thích hợp với nhu cầu của tổ chức,

- theo dõi mức độ đạt được chính sách, mục tiêu, chỉ tiêu kinh doanh liên tục của tổ chức,

- kết quả thực hiện các quá trình, thủ tục và chức năng bảo vệ các hoạt động ưu tiên của tổ chức,

- theo dõi sự phù hợp với tiêu chuẩn này và với các mục tiêu kinh doanh liên tục,

- theo dõi bằng chứng trước đây về kết quả thực hiện kém của BCMS, và

- ghi nhận dữ liệu và kết quả theo dõi và đo lường để tạo thuận lợi cho các hành động khắc phục tiếp theo.

CHÚ THÍCH: Kết quả thực hiện kém có thể bao gồm sự không phù hợp, những lần thoát nạn, cảnh báo sai và sự cố thực tế.

9.1.2  Đánh giá các thủ tục kinh doanh liên tục

...

...

...

b) Việc đánh giá phải được thực hiện thông qua các xem xét định kỳ, luyện tập, thử nghiệm, báo cáo sau sự cố và đánh giá kết quả thực hiện. Những thay đổi đáng kể nảy sinh phải được phản ánh kịp thời trong (các) thủ tục;

c) Tổ chức phải định kỳ đánh giá sự tuân thủ các yêu cầu pháp lý và chế định, các thực hành tốt của ngành công nghiệp, và sự phù hợp với chính sách và mục tiêu kinh doanh liên tục của mình; và

d) Tổ chức phải thực hiện các đánh giá theo các khoảng thời gian được hoạch định và khi có những thay đổi đáng kể xảy ra.

Khi xảy ra sự cố gián đoạn và dẫn đến việc kích hoạt các thủ tục kinh doanh liên tục của mình, tổ chức phải thực hiện xem xét sau sự cố và ghi nhận các kết quả.

9.2  Đánh giá nội bộ

Tổ chức phải tiến hành các cuộc đánh giá nội bộ theo những khoảng thời gian được hoạch định để cung cấp thông tin về việc BCMS có hay không:

a) phù hợp với

1) các yêu cầu của chính tổ chức đối với BCMS của mình;

2) các yêu cầu của tiêu chuẩn này;

...

...

...

Tổ chức phải:

- hoạch định, thiết lập, thực hiện và duy trì (các) chương trình đánh giá bao gồm cả tần suất, phương pháp, trách nhiệm, các yêu cầu hoạch định và việc báo cáo. Chương trình đánh giá phải tính đến tầm quan trọng của các quá trình liên quan và kết quả của các cuộc đánh giá trước đó;

- xác định chuẩn mực đánh giá và phạm vi của từng cuộc đánh giá;

- lựa chọn chuyên gia đánh giá và tiến hành các cuộc đánh giá để đảm bảo tính vô tư và tính khách quan của quá trình đánh giá;

- đảm bảo rằng kết quả đánh giá được báo cáo tới cấp lãnh đạo thích hợp;

- lưu giữ thông tin dạng văn bản làm bằng chứng về việc thực hiện chương trình đánh giá và kết quả đánh giá.

Chương trình đánh giá, bao gồm cả lịch trình, phải dựa trên kết quả đánh giá rủi ro các hoạt động của tổ chức và kết quả các cuộc đánh giá trước. Thủ tục đánh giá phải bao trùm phạm vi, tần suất, phương pháp và năng lực cũng như trách nhiệm và các yêu cầu đối với việc tiến hành đánh giá và báo cáo kết quả.

Lãnh đạo chịu trách nhiệm đối với khu vực được đánh giá phải đảm bảo rằng mọi việc khắc phục và hành động khắc phục được thực hiện không chậm trễ để loại bỏ sự không phù hợp được phát hiện và nguyên nhân của chúng. Các hoạt động tiếp theo phải bao gồm việc kiểm tra xác nhận hành động được thực hiện và báo cáo kết quả kiểm tra xác nhận.

9.3  Xem xét của lãnh đạo

...

...

...

Xem xét của lãnh đạo phải bao gồm việc xem xét về:

a) tình trạng của các hành động từ các cuộc xem xét của lãnh đạo trước đó;

b) những thay đổi trong các vấn đề nội bộ và bên ngoài liên quan đến BCMS;

c) thông tin về kết quả thực hiện kinh doanh liên tục, bao gồm các xu hướng về:

1) sự không phù hợp và hành động khắc phục,

2) kết quả theo dõi, đo lường và đánh giá, và

3) các kết quả đánh giá,

d) các cơ hội cải tiến liên tục.

Xem xét của lãnh đạo phải xem xét kết quả thực hiện của tổ chức, bao gồm

...

...

...

- nhu cầu thay đổi BCMS, bao gồm cả chính sách và mục tiêu,

- các cơ hội cải tiến,

- kết quả của các cuộc đánh giá và xem xét BCMS bao gồm cả đánh giá và xem xét nhà cung ứng và đối tác chính, khi thích hợp,

- các kỹ thuật, sản phẩm hoặc thủ tục có thể được sử dụng trong tổ chức để cải tiến kết quả thực hiện và hiệu lực của BCMS,

- tình trạng của các hành động khắc phục,

- kết quả luyện tập và thử nghiệm,

- rủi ro hoặc vấn đề chưa được giải quyết một cách thỏa đáng trong đánh giá rủi ro bất kỳ nào trước đó,

- mọi thay đổi có thể ảnh hưởng đến BCMS, dù là nội bộ hay bên ngoài đối với phạm vi của BCMS,

- sự thỏa đáng của chính sách,

...

...

...

- các bài học rút ra và các hành động nảy sinh từ sự cố gián đoạn, và

- việc hình thành thực hành tốt và hướng dẫn.

Đầu ra của xem xét của lãnh đạo phải bao gồm các quyết định liên quan đến cơ hội cải tiến liên tục và nhu cầu thay đổi có thể có đối với BCMS và bao gồm:

a) những thay đổi về phạm vi của BCMS;

b) cải tiến hiệu lực của BCMS;

c) cập nhật đánh giá rủi ro, phân tích tác động kinh doanh, kế hoạch kinh doanh liên tục và các thủ tục liên quan;

d) sửa đổi, điều chỉnh các thủ tục và kiểm soát để ứng phó với các sự kiện nội bộ và bên ngoài có thể ảnh hưởng đến BCMS, bao gồm những thay đổi đối với

1) các yêu cầu về kinh doanh và tác nghiệp,

2) các yêu cầu về an ninh và giảm rủi ro,

...

...

...

4) yêu cầu pháp lý và chế định,

5) nghĩa vụ hợp đồng,

6) mức rủi ro và/hoặc tiêu chí chấp nhận rủi ro,

7) nhu cầu về nguồn lực,

8) yêu cầu về cấp kinh phí và ngân sách; và

e) cách thức đo lường hiệu lực của các kiểm soát.

Tổ chức phải lưu giữ thông tin dạng văn bản làm bằng chứng về các kết quả xem xét của lãnh đạo. Tổ chức phải

- trao đổi thông tin về kết quả xem xét của lãnh đạo với các bên quan tâm có liên quan, và

- thực hiện hành động thích hợp liên quan đến các kết quả này.

...

...

...

10.1  Sự không phù hợp và hành động khắc phục

Khi xảy ra sự không phù hợp, tổ chức phải:

a) nhận biết sự không phù hợp

b) ứng phó với sự không phù hợp và khi có thể

1) thực hiện hành động để kiểm soát và khắc phục sự không phù hợp; và

2) xử lý các hệ quả.

c) đánh giá nhu cầu đối với hành động nhằm loại bỏ nguyên nhân dẫn đến sự không phù hợp để không tái diễn hoặc xảy ra ở nơi khác bằng việc:

1) xem xét sự không phù hợp;

2) xác định nguyên nhân của sự không phù hợp; và

...

...

...

4) đánh giá nhu cầu đối với hành động khắc phục để đảm bảo sự không phù hợp không tái diễn hoặc xảy ra ở nơi khác;

5) xác định và thực hiện hành động khắc phục cần thiết;

6) xem xét hiệu lực của mọi hành động khắc phục được thực hiện;

7) thực hiện những thay đổi đối với BCMS nếu cần

d) thực hiện mọi hành động cần thiết;

e) xem xét hiệu lực của mọi hành động khắc phục được thực hiện

f) thực hiện những thay đổi đối với BCMS nếu cần

Hành động khắc phục phải tương ứng với tác động của sự không phù hợp gặp phải.

Tổ chức phải lưu giữ thông tin dạng văn bản làm bằng chứng về:

...

...

...

- kết quả của mọi hành động khắc phục.

10.2  Cải tiến liên tục

Tổ chức phải cải tiến liên tục sự thích hợp, thỏa đáng và hiệu lực của BCMS.

CHÚ THÍCH: Tổ chức có thể sử dụng các quá trình của BCMS như sự lãnh đạo, hoạch định và đánh giá kết quả thực hiện để đạt được cải tiến.

Thư mục tài liệu tham khảo

[1] TCVN ISO 9001, Hệ thống quản lý chất lượng - Các yêu cầu

[2] TCVN ISO 14001, Hệ thống quản lý môi trường - Các yêu cầu và hướng dẫn sử dụng

[3] TCVN ISO 19011, Hướng dẫn đánh giá hệ thống quản lý

...

...

...

[5] TCVN ISO 22300, An ninh xã hội - Thuật ngữ

[6] ISO/PAS 22399, An ninh xã hội - Hướng dẫn chuẩn bị sẵn sàng cho sự cố và quản lý hoạt động liên tục

[7] ISO/IEC 24762, Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn về dịch vụ phục hồi sau thảm họa công nghệ thông tin và truyền thông

[8] TCVN ISO/IEC 27001, Hệ thống quản lý an ninh thông tin

[9] ISO/IEC 27031, Công nghệ thông tin - Kỹ thuật an toàn - Hướng dẫn về sự sẵn sàng của công nghệ thông tin và truyền thông trong kinh doanh liên tục

[10] TCVN ISO 31000, Quản lý rủi ro - Hướng dẫn

[11] TCVN ISO/IEC 31010, Quản lý rủi ro - Kỹ thuật đánh giá rủi ro

[12] TCVN 9788, Quản lý rủi ro - Từ vựng

[13] BS 25999-1, Quản lý kinh doanh liên tục - Quy tắc thực hành, Viện Tiêu chuẩn Anh (BSI)

...

...

...

[15] SI 24001, Quản lý kinh doanh liên tục - Các yêu cầu và hướng dẫn sử dụng, Viện Tiêu chuẩn Israel

[16] NFPA 1600, Tiêu chuẩn về quản lý thảm họa/khẩn cấp và chương trình kinh doanh liên tục, Hiệp hội phòng cháy chữa cháy quốc gia (Hợp chủng quốc Hoa kỳ)

[17] Hướng dẫn xây dựng kế hoạch kinh doanh liên tục, Bộ Kinh tế, Thương mại và Công nghiệp (Nhật Bản), 2005

[18] Hướng dẫn về kinh doanh liên tục, Hội đồng quản lý thảm họa trung ương, Văn phòng nội các chính phủ Nhật, 2005

[19] ANSI/ASIS SPC.1, Khả năng thích ứng của tổ chức: An ninh, Chuẩn bị sẵn sàng và Hệ thống quản lý tính liên tục - Các yêu cầu và hướng dẫn sử dụng

[20] SS 540:2008, Tiêu chuẩn của Singapore về Quản lý kinh doanh liên tục

[21] ANSI/ASIS/BSI BCM.01, Hệ thống quản lý kinh doanh liên tục - Các yêu cầu và hướng dẫn sử dụng

Mục lục

...

...

...

Lời giới thiệu

1  Phạm vi áp dụng

2  Tài liệu viện dẫn

3  Thuật ngữ và định nghĩa

4  Bối cảnh của tổ chức

4.1  Hiểu tổ chức và bối cảnh của tổ chức

4.2  Hiểu nhu cầu và mong đợi của các bên quan tâm

4.3  Xác định phạm vi của hệ thống quản lý kinh doanh liên tục

4.4  Hệ thống quản lý kinh doanh liên tục

...

...

...

5.1  Sự lãnh đạo và cam kết

5.2  Cam kết của lãnh đạo

5.3  Chính sách

5.4  Vai trò, trách nhiệm và quyền hạn trong tổ chức

6  Hoạch định

6.1  Hành động giải quyết rủi ro và cơ hội

6.2  Mục tiêu kinh doanh liên tục và các kế hoạch để đạt được mục tiêu

7  Hỗ trợ

7.1  Nguồn lực

...

...

...

7.3  Nhận thức

7.4  Trao đổi thông tin

7.5  Thông tin dạng văn bản

8  Thực hiện

8.1  Hoạch định và kiểm soát việc thực hiện

8.2  Phân tích tác động kinh doanh và đánh giá rủi ro

8.3  Chiến lược kinh doanh liên tục

8.4  Thiết lập và thực hiện thủ tục về kinh doanh liên tục

8.5  Luyện tập và thử nghiệm

...

...

...

9.1  Theo dõi, đo lường, phân tích và đánh giá

9.2  Đánh giá nội bộ

9.3  Xem xét của lãnh đạo

10  Cải tiến

10.1  Sự không phù hợp và hành động khắc phục

10.2  Cải tiến liên tục

Thư mục tài liệu tham khảo